Обнаруженный экспертами компании “Лаборатория Касперского” мобильный шпион LianSpy нацелен на пользователей Android-смартфонов из России, но используемые им нестандартные подходы потенциально могут быть применены и в других регионах.
LianSpy был обнаружен в марте 2024 года и оставался “в тени” длительное время. По мнению экспертов, шпионское ПО активно как минимум с 2021 года.
LianSpy маскируется под системные приложения и финансовые сервисы. При этом атакующих не интересуют банковские данные жертв: шпионское ПО тихо и незаметно следит за активностью пользователей, перехватывая данные журнала звонков, отправляя список установленных приложений на сервер атакующих, а также записывает экран смартфона, в основном – при работе с мессенджерами.
В отличие от других представителей шпионского ПО, эксплуатирующих zero-click-уязвимости, LianSpy всё же требует от жертвы некоторых действий.
В начале работы вредонос проверяет, есть ли у него требуемые разрешения на чтение контактов, журнала вызовов и работу с оверлеем; если нет – запрашивает их. После этого программа регистрирует широковещательный приёмник Android Broadcast Receiver для получения информации о событиях в системе, отвечающих за запуск или остановку различных вредоносных задач.
LianSpy довольно-таки нестандартно использует права суперпользователя. Обычно root-права используются для получения полного контроля над устройством, но в случае LianSpy атакующие используют лишь малую часть доступного суперпользователю функционала. Любопытно, что root-права используются таким образом, чтобы не допустить их выявления защитными решениями.
LianSpy – постэксплуатационный троян: злоумышленники либо задействовали уязвимости для рутования Android-устройств, либо использовали физический доступ к устройствам жертв для модификации прошивки. Какую именно уязвимость могли задействовать атакующие в первом случае, пока неизвестно.
Еще одна особенность LianSpy – использование комбинации симметричного (один и тот же ключ используется для кодирования и восстановления информации) и асимметричного (применяются открытый и закрытый ключи) ключа шифрования. Перед кражей данные шифруются симметричным алгоритмом, ключ для которого зашифрован асимметричным, при этом закрытым ключом владеет только атакующий.
Эксперты “Лаборатории Касперского” затрудняются ответить, кто стоит за распространением и реализацией LianSpy.
Атакующие используют только публичные сервисы, а не приватную инфраструктуру, поэтому однозначно определить, какая хакерская группировка стоит за атаками на пользователей Android-смартфонов в России, – сложно.
Тем более не ясен и конечный заказчик, но, как показывает мировая практика, зачастую такие сложные кампании по кибершпионажу инициированы группировками, аффилированными с тем или иным государством.
Материалы: Kaspersky.ru (Dmitry Kalinin)